不是空头勒索，聚焦真实对抗

狼真的来了吗？

从2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发出DDoS攻击比特币勒索邮件。该组织通过收集相关公司的后缀和员工邮箱，采取广撒网的方式发送勒索邮件，威胁客户需在约定的日期向指定的账号支付10比特币，否则的话将进行持续的大流量攻击，并逐步提高勒索比特币数额。

攻击者约定的攻击日期到了，真的会被攻击吗？强者从不报侥幸心理，绿盟科技在6月16日就第一时间发布紧急安全威胁预警通告，帮助国内各大金融企业制定完备且严密的紧急防护措施，只等“无敌舰队”来犯。朋友来了有好酒,若是豺狼来了,迎接它的只有猎枪。

初次交锋

随着部分金融机构约定付款日期到来，还真有DDoS攻击如期而至。不过均未能凑效，全部铩羽而归。其中一个金融机构的DDoS真实对抗情况如下：

该金融机构遭受攻击的总流量为9.0GB，峰值为2.3Gbps，大部分为SYN Flood小包攻击，夹带UDP Flood攻击。

攻击分布如下：

其中攻击的流量主要类型为SYN Flood，UDP Flood。

攻击流量抓包截图：

可以看出大部分是SYN Flood小包攻击，并夹杂着DNS反射和分片攻击。需要注意的是，反射攻击在近期的DDoS勒索攻击事件中频频露面。

后续应对

敌我双方均已亮剑，前期受挫的“无敌舰队”预计还会有后招。最大的可能预计有三种：提升攻击流量规模（勒索邮件宣称可以到1Tbps）； 强化应用层攻击将攻击流量复杂化；调整攻击目标。为了应对后续攻击，绿盟科技将通过组合拳的方式主动迎击：

1. 云端清洗资源+本地ADS实现多层清洗，加大防御纵深；

2. 结合ADS可管理安全服务，绿盟安全攻防专家全程参与监控、运维和攻击响应；

3. 第一波次攻击所产生的IP信誉信息（威胁情报）将用于后续协防，提高清洗效率。

云端清洗资源擅长抵御简单粗暴的大流量攻击，本地ADS具备灵活的自定义防护策略，更加适合抵御有针对性的应用层攻击。两种资源的有效组合，将大流量和应用层攻击轻松化解；ADS可管理安全服务除了可以提供7X24的实时监控和预警，还能通过攻防专家将云端清洗资源和本地清洗资源有机协同起来，最大化利用；威胁情报的合理利用，将提升所有客户的清洗效率或攻击者的攻击成本（攻击者需要更频繁换攻击资源）。

实战是检验实力的唯一标准。此次勒索事件，绿盟科技在DDoS攻击防护方面，将带宽资源（云端清洗）和攻防技术（清洗设备和安全专家）灵活组合，并辅以多项有效手段，让客户手里不仅有猎枪，还有飞机大炮，以及协同作战的智能指挥中心，必能将入侵的豺狼打退。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP